Overdaad schaadt

Accountgegevens worden vaak verkeerd gedefinieerd. Veelal worden ze beschouwd als inloggegevens van mensen, uiteenlopend van standaard gebruikers tot beheerders met uitgebreide toegangsrechten tot de IT-infrastructuur, de zogeheten privileged accounts. Dat deze gegevens op straat kunnen komen, is kwalijk, maar kunnen mensen nog begrijpen.

Het is echter belangrijk te weten dat er veel meer (privileged) accounts aanwezig zijn dan alleen het aantal gebruikers. Ieder apparaat in het netwerk heeft een account om bepaalde processen aan te sturen. Een account dus met toegang tot andere systemen.

Stappenplan van een hacker

Hackers zijn er niet op uit om net te doen alsof ze een geautoriseerde gebruiker zijn. Ze zijn er op uit om binnen te komen en informatie te halen om, in de meeste gevallen, geld mee te verdienen of om chaos te veroorzaken. Daar hoeven ze geen menselijke inloggegevens voor te hebben, machine-accounts zijn veelal voldoende.

Wanneer nieuw apparaten in het netwerk worden gehangen, worden er accounts gemaakt en services bepaald die ze moeten/mogen uitvoeren. Op die manier ontstaan koppelingen tussen machines en andere resources in het netwerk. Elke geautomatiseerde functie is ook gekoppeld aan een account. Meestal worden services geconfigureerd om machine-accounts te gebruiken, maar services en applicaties kunnen ook afhankelijk zijn van gebruikeraccounts. Zo worden gebruikeraccounts gebruikt voor een SharePoint Exchange service.

En hier gaat het fout. Sommige accounts leven een ongezien en onbekend bestaan, en veel accounts krijgen onterecht een andere security-prioriteit dan de meer voor de hand liggende (gebruiker)accounts. Regelmatig wachtwoorden veranderen komt daar niet voor. Eenmaal in het bezit van privileged accountgegevens is een hacker in staat om vrijelijk door het netwerk te manoeuvreren, onzichtbaar voor alle beveiligingslagen als firewall, AV, SIEM omdat ze zich voordoen als een legitieme gebruiker.

Veelvoorkomende misstappen

Autorisatieniveaus worden meestal handmatig vastgesteld. Bij problemen met een service gaat het vaak om ‘te weinig rechten’. Dit is simpel op te lossen door meer rechten te geven aan een account, maar levert veel risico op wanneer de beveiligingsniveaus niet mee stijgen en het autorisatieniveau later ook niet wordt bijgesteld naar beneden als het probleem is verholpen.

Een CEO kan extra bevoegdheden hebben doordat zij of hij toegang wil hebben tot iets en het is voor IT makkelijker om toe te geven. De CEO hoeft natuurlijk geen toegang op domeinniveau te hebben, maar applicaties moeten wel werken. Als dat lukt door extra rechten uit te delen, dan gebeurt dat meestal.

Daarnaast zien we ook nog andere misstappen als dezelfde accountgegevens voor verschillende services op servers, het opslaan van inloggegevens in scripts op endpoints, domeinniveau-toegang gebruiken op lokale systeemservices, en vele andere. Het is allemaal ten gunste van de aanvaller. Een simpele zoekactie levert vaak al heel veel informatie op.

Alles heeft een account

Veel bedrijven worden momenteel het slachtoffer van hackers omdat ze bovenstaande niet weten en geen tegenmaatregelen nemen. De aanvalstactiek is inmiddels succesvol gebleken: het netwerk binnenkomen, gedeelde schijven scannen en scripts met accountgegevens op domeinniveau onderscheppen. Ze krijgen complete controle over het netwerk en kunnen bedrijfsgeheimen, creditcard-gegevens in kassasystemen of persoonlijke data onderscheppen.

Het is dus cruciaal te begrijpen dat alles een account heeft, gebruikers en machines. Menselijke accounts moeten worden gescheiden van service accounts en ze moeten alleen worden gebruikt door een enkel geautomatiseerd proces. Rechten moeten niet voor het gemak maar wat hoger worden ingeschaald, maar moeten beter worden beheerd. Introduceer een manier die het wisselen van wachtwoorden automatiseert, onafhankelijk van menselijk handelen. Bescherm en monitor alle accounts. Kijk verder dan de technologie die alleen opvallend menselijk gedrag detecteert; wees alert op opvallende activiteiten van machines. En wees strenger voor de CEO. Uiteindelijk bescherm je haar of hem tegen een publieke boetedoening na een succesvolle aanval.